---
title: "Die fertige Liste"
date: 2026-05-29T07:35:00+02:00
draft: false
image: "2026-05-29_Die-fertige-Liste.jpg"
tags: ["Anti-Pattern", "Risikomanagement", "ISO 27001", "Unsicherheit"]
keywords: ["Risikoregister", "Frank Knight", "Knightsche Unsicherheit", "Schwarzer Schwan", "Vollständigkeitsillusion", "ISO 27001 Abschnitt 6.1.2 b"]
description: "Das Risikoregister bildet ab, was wir kennen – nicht was uns bedrohen kann."
---

## 🔍 Was beobachte ich?

Risikoworkshops enden mit einem gepflegten Register: Bedrohungen erfasst, Schwachstellen zugeordnet, Schäden geschätzt. Was nicht im Register steht, gilt als abgedeckt. Die nicht identifizierten Risiken hinterlassen keine Spur – also gibt es sie nicht.

## 🎯 Was soll eigentlich erreicht werden?

ISO/IEC 27001 verlangt in Abschnitt 6.1.2 b ein Verfahren, das wiederholt konsistente, valide und vergleichbare Ergebnisse liefert. Das Register soll Entscheidungen tragen, Ressourcen lenken und Verantwortung sichtbar machen.

## ⚠️ Warum funktioniert das nicht?

Frank Knight trennte vor hundert Jahren Risiko von Unsicherheit: messbar gegen prinzipiell unmessbar. In der Informationssicherheit überwiegt das Unmessbare. Vollständigkeit ist hier erkenntnistheoretisch ausgeschlossen, nicht bloß schwer erreichbar – die Sicherheitsforschung formuliert es scharf: Mit der Gefährdungsidentifikation kann man grundsätzlich nie fertig sein. Talebs Schwarzer Schwan steht per Definition nicht im Register – wäre er drin, wäre er kein Schwan mehr. Das ist die Vollständigkeitsillusion: Die Lücke ist unsichtbar, also gilt die Liste als vollständig. Wer das Register für die Bedrohungslage hält, hat eine Landkarte erfunden, wo eigentlich ein weißes Feld stünde.

## 💡 Was funktioniert besser?

Die Illusion lässt sich nicht beseitigen, aber sichtbar machen. Neben die Identifikation gehört ein zweites Standbein: Widerstandsfähigkeit. Schnelle Erkennung, geübte Eindämmung, robuste Wiederherstellung wirken unabhängig vom konkreten Vektor. Die Pointe: 6.1.2 b verlangt Konsistenz, Validität und Vergleichbarkeit – keine Vollständigkeit. Erst ein Register, das seine Lücke offen ausweist, erfüllt die Norm. Eines, das Vollständigkeit behauptet, täuscht sie.

## 📚🔍

- Decision Theory (Stanford Encyclopedia of Philosophy) – Knight 1921 zur Unterscheidung Risiko vs. Unsicherheit [https://plato.stanford.edu/entries/decision-theory/](https://plato.stanford.edu/entries/decision-theory/)
- Explained: Knightian uncertainty (MIT News) [https://news.mit.edu/2010/explained-knightian-0602](https://news.mit.edu/2010/explained-knightian-0602)
- Murphy & Conner (2012): Beware of the black swan – The limitations of risk analysis (Process Safety Progress) [https://aiche.onlinelibrary.wiley.com/doi/abs/10.1002/prs.11524](https://aiche.onlinelibrary.wiley.com/doi/abs/10.1002/prs.11524) 🔒
- Risk (Stanford Encyclopedia of Philosophy) – Epistemologie des Risikos und Grenzen der Wissbarkeit [https://plato.stanford.edu/entries/risk/](https://plato.stanford.edu/entries/risk/)